Comment faire un cookie de session authkit HttpOnly dans les pylônes?
https://stackoverflow.com/questions/1220555
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'utilise le module authkit avec Pylons et je constate que le cookie de session qu'il définit (authkit, qui porte bien son nom) n'est pas configuré pour être HttpOnly.
Existe-t-il un moyen simple de le rendre HttpOnly? (Par "simple", j'entends celui qui ne comporte pas de piratage du code d'authkit.)
La solution
Ceci n'est pas documenté dans authkit, car il ne fonctionnait que dans Python 2.6 (voir ici ), mais si vous avez Python 2.6, alors
authkit.cookie.params.httponly = true
dans la configuration devrait fonctionner et faire ce que vous désirez.
authkit utilise en interne un Cookie.SimpleCookie , et c’est ce qui limite les clés que vous pouvez avoir pour authkit.cookie.params. - jusqu’à Python 2.5. RFC 2109 , seules les clés prises en charge par la norme sont utiles <, L'extension code> httponly a été ajoutée - c'est ainsi qu'authkit a obtenu automatiquement l'assistance de celui-ci ... car, à juste titre, il ne fait pas ses propres vérifications, mais délègue plutôt toutes les vérifications à SimpleCookie .
Si vous êtes coincé avec Python 2.5 ou une version antérieure, effectuer ce travail nécessitera un peu plus d'effort (ne pas changer authkit, mais monkeypatching Cookie.py de Python, ou mieux, si possible, installer une version plus récente de Cookie. py des sources Python 2.6 dans un répertoire qui est antérieurement dans sys.path à celui de la propre bibliothèque standard de Python).
